Вопрос: Банковское сообщество предлагает актуализировать информацию о реализации регуляторных планов по управлению аутсорсингом на финансовом рынке.
Кредитные организации принимали активное участие в обсуждении проекта Указания "О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (июнь 2022 г.) <1> и доклада Банка России для общественных консультаций "Управление рисками аутсорсинга на финансовом рынке" (декабрь 2022 г. - январь 2023 г. <2>), касающихся управления рисками аутсорсинга на финансовом рынке.
--------------------------------
<1> Письмо от 27.07.2022.
<2> Письма от 20.01.2023, от 06.02.2023.
Согласно информации, имеющейся у кредитных организаций, срок вступления в силу норм проекта Положения N 716-П, в том числе гл. 8.1 "Управление риском аутсорсинга", был изменен с 01.04.2023 на 01.10.2023 <3>. Другой информации от Департамента не поступало, на регистрации в Минюсте России проект внесения изменений в Положение N 716-П не значится.
--------------------------------
<3> Письмо Департамента надзора за системно значимыми кредитными организациями Банка России от 19.09.2022 N 42-8-2/3738 (далее - Комментарии).
При этом в Отчете об итогах публичного обсуждения доклада Банка России для общественных консультаций "Управление рисками аутсорсинга на финансовом рынке" указано, что в отношении кредитных организаций Банк России прорабатывает вопрос о возможности реализации международных стандартов регулирования риска аутсорсинга (в частности, норм, установленных документами Базельского комитета по банковскому надзору (BCBS)) в нормативных актах Банка России, в том числе в части установления требований к управлению риском аутсорсинга и определению кредитными организациями во внутренних документах процедур осуществления передачи отдельных функций на аутсорсинг третьим лицам и обеспечения их выполнения в целях управления риском аутсорсинга.
Также сообщено, что Банк России планирует продолжить реализацию законодательных инициатив, определяющих правовой статус поставщика услуг аутсорсинга информационных технологий и облачных услуг, а также распространение на указанных лиц требований по обеспечению конфиденциальности информации и соблюдению установленных законодательством режимов защиты и обработки информации.
Полагаем, что речь идет о законопроекте N 404786-8 "О внесении изменений в отдельные законодательные акты Российской Федерации" (в части совершенствования правовых основ для аутсорсинга информационных технологий и использования облачных услуг финансовыми организациями). Вместе с тем, как представляется, внесенная редакция законопроекта предполагает более расширенный периметр аутсорсинга, не в полной мере соответствующий Комментариям к проектируемым нормам изменений Положения N 716-П.
Сложившаяся неопределенная ситуация порождает ряд вопросов по внедрению проектируемой гл. 8.1 и по реальности срока вступления в действие изменений Положения N 716-П в части управления риском аутсорсинга с 01.10.2023.
Дополнительно предлагается согласовать представленные в приложении подходы к корректному исполнению требований проекта изменений Положения.
Приложение
1. Применять требования к процедуре оформления договорной базы аутсорсинга, установленные п. 8.1.6.5 гл. 8.1 Положения N 716-П, только к договорам, заключаемым после вступления в силу гл. 8.1 Положения N 716-П (то есть требования п. 8.1.6.5 гл. 8.1 Положения N 716-П распространить только на вновь заключаемые договоры).
2. Договорами аутсорсинга признавать договоры, отвечающие одновременно критериям:
2.1. Отнесение передаваемой на аутсорсинг услуги к критически важным бизнес-процессам / критически важным информационным системам банка в соответствии с п. 4.1.1 действующей редакции Положения N 716-П и внутренними документами банка.
2.2. Критерию банка, характеризующемуся наличием обязанности аутсорсера размещать, хранить или иным образом обрабатывать конфиденциальную информацию банка (коммерческая, банковская, налоговая тайна, персональные данные клиентов, инсайдерская информация).
3. Признавать договором аутсорсинга договор об оказании банковских услуг, не отвечающий критерию отнесения к критически важным бизнес-процессам / критически важным информационным системам (например, договор инкассации), то есть применить дополнительные критерии банка по отбору договоров без включения процесса в критически важные бизнес-процессы банка.
4. Для определения договоров аутсорсинга установить суммовой параметр их отнесения к периметру применения к ним требований гл. 8 Положения N 716-П вне зависимости от их соответствия по критерию отнесения передаваемой на аутсорсинг услуги к критически важным бизнес-процессам банка / критически важным информационным системам или по иным состоятельным критериям, разработанным банком.
5. Не оценивать риск конкретного поставщика услуг аутсорсинга в рамках решений специализированного коллегиального органа, предусмотренного гл. 8 Положения N 716-П, так как процедура выбора поставщика установлена закупочными процедурами и предполагает наличие оценки риска поставщика со стороны подразделений безопасности при оценке мошеннических и криминальных рисков с соответствующим доведением результатов до закупочной комиссии.
Ответ: Банк России рассмотрел письмо от 15.09.2023 о подходах к реализации новых требований к управлению аутсорсингом (далее - письмо) и сообщает следующее.
Проектируемые нормы проекта указания Банка России "О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - проект указания) синхронизированы с требованиями проекта федерального закона N 404786-8 "О внесении изменений в отдельные законодательные акты Российской Федерации" <1>. Принимая во внимание, что в законодательстве Российской Федерации может быть предусмотрено более широкое описание периметра аутсорсинга, сообщаем, что проект указания устанавливает специальные требования в области управления риском аутсорсинга. В соответствии с релизным подходом Банка России вступление в силу проекта указания запланировано на дату не ранее 01.10.2024.
--------------------------------
<1> В части аутсорсинга информационных технологий и (или) облачных услуг.
По вопросу 1
В соответствии с проектируемыми нормами процедура оформления договоров об аутсорсинге относится к комплексу мероприятий, установленных подпунктом 4.1.5 пункта 4.1 Положения N 716-П <2>. Планируется, что кредитные организации будут обязаны применять данные требования в целях управления риском аутсорсинга с даты вступления в силу проекта указания при заключении новых договоров и при пересмотре ранее заключенных договоров.
--------------------------------
<2> Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П).
По вопросам 2 - 4
Проект указания определяет требования к процедурам управления риском аутсорсинга критически важных процессов и (или) их этапов, определяемых в соответствии с подпунктом 4.1.1 пункта 4.1 Положения N 716-П. При этом кредитная организация для целей управления риском аутсорсинга вправе устанавливать дополнительные критерии <3> определения состава аутсорсинга, на которые будут распространяться требования к процедурам управления риском аутсорсинга. Дополнительные критерии, устанавливаемые кредитной организацией, должны быть использованы только в целях расширения перечня передаваемых на аутсорсинг функций, операций, услуг и (или) этапов процессов, к которым будут применяться процедуры управления риском аутсорсинга критически важных процессов.
--------------------------------
<3> Например, пороговую сумму договора оказания услуг.
По вопросу 5
В соответствии с проектируемыми нормами процедура выбора третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) для передачи им на аутсорсинг критически важных процессов и (или) их этапов относится к комплексу мероприятий, установленных подпунктом 4.1.5 пункта 4.1 Положения N 716-П. В рамках данной процедуры кредитная организация для целей управления риском аутсорсинга проводит анализ деятельности третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы).
Кредитная организация самостоятельно определяет во внутренних документах порядок подготовки и осуществления процедуры выбора третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) в соответствии с решением совета директоров <4> (наблюдательного совета) кредитной организации об аутсорсинге критически важных процессов и (или) их этапов.
--------------------------------
<4> Принятого на основе соответствующего проекта решения коллегиального исполнительного органа или специализированного комитета кредитной организации, если создание указанного комитета предусмотрено внутренними документами кредитной организации.
Обращаем внимание, что вопросы, указанные в письме, касаются норм проекта указания, который в настоящее время находится на согласовании в Банке России, в связи с чем вышеуказанные разъяснения носят предварительный характер.
Заместитель председателя
Банка России
О.В.ПОЛЯКОВА
09.11.2023